Содержание:
- Зачем нужен HTTPS
- Безопасность протокола HTTPS для трафика
- Виды SSL сертификатов
- Распространение защищенных сайтов HTTPS
- Как установить HTTPS
- Кому нужно шифрование данных HTTPS
- Заключение
Интернет уже давно есть если не везде, то в очень многих точках планеты. Он упростил коммуникацию и сблизил тех, кто живет далеко друг от друга. Но распространенность глобальной сети – палка о двух концах. Конечно, смешные фото котов не представляют ни для кого особой ценности, а вот личные данные, особенно связанные с финансами, могут заинтересовать мошенников. Как интернет защищается от недобросовестных пользователей и хакеров?
Зачем нужен HTTPS
Раньше популярнее всех прочих был протокол HTTP, который фактически был просто инструментов для передачи гипертекста. Сейчас первое место по использованию занимает его усовершенствованная версия, HTTPS. Принцип работы у него остался прежним, но безопасность стала гораздо выше.
Что такое протокол? Это набор команд и указаний для сервера, через который перекачиваются данные. В чем разница протоколов HTTP и HTTPS? Первый передает данные в открытом виде, а второй использует SSL/TLS-сертификаты, своеобразную подпись, которая подтверждает подлинность и легальность данных. Эта подпись дает браузеру знать, что ресурс безопасен и заслуживает большего доверия, чем тот, что работает чем HTTP и не так хорошо защищен.
Безусловно, протокол HTTP может с успехом использоваться и сегодня. Но как только дело доходит до ресурсов, где хранятся ценные личные данные – онлайн-версий банков или интернет-магазины, где оплата покупок происходит дистанционно, – защита данных становится актуальнее, поскольку такие ресурсы являются потенциальной мишенью для злоумышленников.
Безопасность протокола HTTPS для трафика
С технической точки зрения, ответ на вопрос «какая функция протокола HTTPS» можно дать одним словом – «шифрование». Протокол HTTPS использует ассиметричную систему шифрования. Он создает закодированный канал, по которому идет обмен данными через порт 443 (причем коды одноразовые, поскольку для каждого сеанса связи код создается заново). Закодированный канал имеет три уровня защиты.
- Сокрытие содержимого. Все, что передается от пользователя к серверу и обратно, шифруется.
- Фиксация изменений. Любые изменения данных логируются. Если даже мошенник сможет взломать шифр, вносимые им изменения будут зафиксированы и отслежены.
- Аутентификация. Переход на нужный сайт всегда защищен аутентификацией, в отличие от открытой передачи через HTTP, которая могла быть перенаправлена на потенциально опасный ресурс.
На практике работа HTTPS выглядит так. Пользователь нажимает на ссылку, ведущую на защищенный ресурс. Браузер отправляет запрос, а ресурс в ответ предъявляет сертификат безопасности. После проверки его на подлинность устанавливается соединение по зашифрованному каналу.
Шифровка проводится с помощью двух видов ключей:
- Симметричный ключ. Обе стороны (владелец ресурса и пользователь) имеют по одному ключу, с которыми идет обмен данными. Связь при этом должна быть установлена, чтобы браузер пользователя и ресурс могли «понять» друг друга.
- Асимметричный ключ. Каждая сторона имеет два ключа, открытый и приватный. Открытый ключ доступен любому, а приватный – только владельцу ресурса. Когда браузер отправляет запрос, он выбирает открытый публичный ключ сервера, шифрует данные и отправляет сообщение. Сайт же распознает послание с помощью приватного кода. Ответ пользователю идет через открытый ключ.
Виды SSL сертификатов
Документы о сертификации приобретаются чаще всего через реселлеров. Выбор типа сертификата зависит от того, для чего будет использоваться HTTPS в каждом конкретном случае. Например, для минимальной защиты достаточно купить версию DV (Domain Validation), которая гарантирует валидацию ресурса. Если нужно защищать личные данные клиентов или сотрудников, лучше подойдет EV (Extended Validation).
- Сертификат с проверкой домена (Domain Validation, DV). Он подтверждает подлинность сайта и гарантирует, что пользователя не увели по поддельной ссылке на опасный ресурс. Это самый популярный способ для платформ, не представляющих услуг с использованием платежных систем.
- Сертификат с проверкой организации (Organization Validation, OV). Это означает, что подтверждено не только доменное имя ресурса, но и компания-владелец. Пользователь будет иметь доступ к расширенной справке о владельце и его добросовестности.
- Сертификат с расширенной проверкой (Extended Validation, EV). Основной вариант для ресурсов, использующих конфиденциальные данные, в том числе банковские. Но, конечно, это может быть и что-то еще – медицинская информация, пароли и прочее. Этот сертификат гарантирует расширенную проверку принципов работы компании-владельца, уровень ее безопасности и т.д.
Разберем действие протокола с цифровым сертификатом на простом примере. Вы пересылаете запертый кейс с кодовым замком известному адресату. По пути он перехватывается третьим лицом, которое заменяет замок, адрес отправителя и пересылает посылку по назначению. Таким образом, третье лицо получает код для открытия замка, при этом и адресат, и отправитель считают, что кейс передан безопасно, а все, что внутри, надежно защищено. Это полный аналог соединения с ресурсом без безопасного протокола HTTPS. Третье лицо может перехватывать информацию, отправленную пользователем серверу и сервером пользователю, что позволяет, например, похитить данные о платежной карте пользователя.
Наличие цифрового сертификата гарантирует, что ресурс – это именно нужный ресурс, а не то самое третье лицо-мошенник. Если продолжать аналогию, сертификат это секретная договоренность между отправителем и адресатом. Адресат знает, что если комбинация на замке при получении кейса будет отличаться от оговоренной, то значит, что кто-то пытался открыть замок.
Распространение защищенных сайтов HTTPS
Чтобы больше компаний использовали HTTPS для шифрования и сертифицирования своих ресурсов, а больше пользователей взаимодействовали друг с другом безопасно, необходимо распространение инструментов, поддерживающих протокол HTTPS. Каждая следующая версия браузеров более надежна, чем предыдущая – они используют все более совершенные методы криптографии.
Чтобы перевести ресурс в режим, защищенный от утечки данных, следует обратиться к регистратору домена, провайдеру или другим разработчикам. Многие хостинги, предоставляющие право на покупку или аренду доменов, оказывают помощь в подключении HTTPS. Наилучший вариант, который меньше всего замедляет загрузку веб-страниц – это SSL/TLS, размещенный на отдельном IP-адресе. Следует помнить, что перенос на HTTPS сайта с большим объемом контента лучше доверить специалисту, чтобы он контролировал оптимизацию ресурса.
Как установить HTTPS
С точки зрения поисковиков, переход на HTTPS расценивается по-разному.
Для поисковика Google изменение протокола означает, что ресурс фактически сменил URL. Обновленный сайт нужно добавить в Google Search Console, а потом придется переносить страницы по частям. Напомним о других подводных камнях.
- Правильность переноса можно проверить применением атрибута rel=canonical.
- Не забудьте сделать новую карту сайта (sitemap).
- Нужно сформировать отдельный файл robots.txt.
- Все внешние ссылки придется обновлять.
Для поисковика Яндекс смена протокола на HTTPS означает просто объединение сайтов в группу. Но тут тоже есть свои особенности.
- Оба ресурса должны содержать аналогичный контент для корректной индексации.
- Сайт должен быть внесен в список Яндекс.Вебмастер.
- Переезд будет завершен спустя несколько суток после его инициации в настройках.
Кому нужно шифрование данных HTTPS
Как уже было сказано выше, браузер всегда запрашивает подтверждение подлинности у ресурса. Это позволяет отсеять фишинговые дубликаты, созданные мошенниками для кражи данных, или в крайнем случае предупредить пользователя, что ресурс не имеет сертификации и поэтому не гарантирует сохранения переданной ему информации.
Но функция протокола HTTPS не ограничивается повышенной безопасностью – это еще и поисковая оптимизация. Дело в том, что Google заинтересован в том, чтобы как можно больше сайтов работали на максимально безопасном HTTPS-протоколе. Чтобы поощрить разработчиков использовать этот протокол, руководство Google сообщило, что его наличие будет важным фактором ранжирования поисковой выдачи. Если у вас есть два идентичных сайта, для продвижения которых вы используете одинаковые SEO-методы, то тот, который работает на HTTPS, будет намного выше в списке поиска, чем тот, который работает на HTTP. Более того, мелкие ресурсы, работающие на HTTP, могут быть вообще скрыты из выдачи и появятся только после того, как пользователь кликнет на предложение поисковика вывести скрытые результаты. Вдобавок, даже если у вас мало конкурентов и ресурс попадет в выдачу, при переходе на него пользователи увидят многочисленные уведомления «подключение не защищено», что всегда отпугивает потенциальных клиентов.
Заключение
Протокол HTTPS – одно из самых весомых достижений интернет-технологий XXI века. Есть множество других достижений, которые лучше видны рядовому пользователю, но все они опираются на плечи титана – протокола максимальной безопасности. Без HTTPS было бы невозможно существование ни удаленных платежных систем, ни банковских приложений, ни интернет-магазинов, всего того, что облегчает жизнь современного человека.